Etkinlik
Seçim sezonuna hazırlık olarak HackerOne, Bilgi Teknolojisi – Bilgi Paylaşımı ve Analiz Merkezi (IT-ISAC) bünyesindeki seçim güvenliği grubuyla koordineli olarak benzersiz bir canlı bilgisayar korsanlığı etkinliği planladı ve gerçekleştirdi. HackerOne’ın teknoloji sahiplerinin ve araştırmacıların hedeflenen varlıkları test etmek için birlikte çalıştığı mevcut canlı bilgisayar korsanlığı etkinliklerini örnek alan IT-ISAC, türünün ilk örneği olan bu etkinlik için danışma kurulunun kolektif deneyiminden yararlandı.
HackerOne, seçimlerimizin güvenliğini sağlamaya yardımcı olmak amacıyla canlı hackleme etkinliğini planlamak için gerekli olan önemli uzmanlığını ve kaynaklarını memnuniyetle sağladı. Üç seçim teknolojisi üreticisi ve donanım korsanlığı uzmanlığına sahip 15 bağımsız, incelenmiş ABD güvenlik araştırmacısı katıldı. İki günlük bir süre boyunca, bu etik bilgisayar korsanları ve seçim teknolojisi sağlayıcıları, seçim cihazlarındaki olası güvenlik sorunlarını keşfetmek için işbirliği yaptı; bunlar arasında, yerleşik yazılımın yeni geliştirilen ve henüz kullanıma sunulmamış yapılandırmalarıyla modern seçim teknolojisine kontrollü erişim de vardı. Test edilen cihazlar arasında dijital tarayıcılar, oy pusulası işaretleme cihazları ve elektronik anket defterleri yer alıyordu; bu da seçmenlerin oy verme yerinde karşılaşabilecekleri teknolojiyi vurguluyordu. Testlere ek olarak, HackerOne gibi çeşitli uzman paydaşlar işbirliğini daha da geliştirdi ve paneller ve takip tartışmaları aracılığıyla sağlayıcılar arasında öğrenilen dersleri yaygınlaştırdı.
Sonuçlar
48 saatlik bir test penceresinde etik bilgisayar korsanları, üç seçim teknolojisi üreticisine yönelik 21 rapor sundu. Test edilen saldırı vektörleri, seçim sandığı doldurma, tarayıcı hizmet reddi, web sitesi URL’sinin işgali ve ön panel iş istasyonu erişimi dahil olmak üzere bir dizi seçim güvenliği tehdidini temsil ediyordu. Sonuç, daha güvenli ürünler ve dolayısıyla daha güvenli seçimler ve paydaşlar arasında güçlenen bir güven oldu.
Bu etkinlik, seçim teknolojisi üreticileri tarafından Güvenlik Açığı Açıklama Programlarının (VDP’ler) benimsenmesini desteklemeye yönelik önceki çabalara dayanıyordu. VDP, üçüncü tarafların potansiyel güvenlik açıklarını ve güvenlik açıklarını doğrudan etkilenen kuruluşlara bildirmesi için güvenli bir kanal sağlayan bir “bir şey söyle bir şey gör” politikasıdır. Eski seçim yetkililerinin, sektörün ve HackerOne dahil güvenlik araştırma topluluğunun yardımıyla seçim teknolojisi üreticileri bu en iyi güvenlik uygulamasını giderek daha fazla uygulamaya koydu. Seçim teknolojisi şirketlerinin çoğunda artık VDP’ler mevcut olsa da, geçen yılki etkinlik çeşitli sistemlere daha fazla erişim sağladı ve bu işbirliğinin güvenliği artıran değerini güçlendirdi.
Gelecek
Etkinliğin başarısının ardından IT-ISAC, sektördeki VDP’ye ve sorumlu açıklamalara daha iyi uyum sağlamak için standartları güncellemeye ve modernleştirmeye ve bu etkinliğin gelecekteki yinelemeleri için bir çerçeve geliştirmeye odaklandı. Paydaşlar, daha geniş bir araştırmacı grubunu, ek şirketleri ve eyalet ve yerel seçim yetkilileri de dahil olmak üzere seçim güvenliği sürecine dahil olan diğer kişileri dahil etmeyi amaçlayan gelecekteki olası olayları araştırıyor. Bu, yalnızca etik korsanların test edebileceği saldırı yüzeyini genişletmekle kalmayacak, aynı zamanda onlara ek saldırı vektörlerine odaklanma gücü de verecektir. Oylarımızın bütünlüğünü korumak hayati önem taşıyor ve güvenlik açıklarını istismar edilmeden önce tespit edip gidermek için (bir grup uzmanı bir odaya bir araya getirerek donanımı hacklemeye çalışmak gibi) proaktif yaklaşımlar gerektiriyor.
Seçim Güvenliği Araştırma Forumu hikayesinin tamamını okuyun >